Mesh 的稽核記錄

稽核記錄可協助組織有效地回應安全性事件、鑑識調查、內部調查和合規性義務。 本文摘要說明如何查詢和要求 Microsoft Mesh 作業和事件的稽核記錄。 某些作業是 Mesh 特有，而其他作業則與其他 M365 作業相關聯，例如 M365：Exchange、SharePoint、Microsoft Entra （Azure AD） 作業、Microsoft Teams 等。

透過 Mesh 的稽核記錄，系統管理員可以收集與 Microsoft Mesh 之 M365 服務互動所產生之用戶活動或作業的個別或大量作業見解。

您可以使用 Microsoft Purview 或 Exchange Online PowerShell 來完成 Mesh 的稽核記錄。

注意

Microsoft Mesh 為使用者提供兩個主要供應專案：Teams 中的沈浸式空間和自定義沉浸式空間。 稽核記錄不會將這些供應專案視為獨立，因此稽核中的事件可能會參考供應專案或兩個供應專案，視您查詢的事件而定。

系統管理員可能對 Mesh 感興趣的使用者活動和作業範例如下：

• Teams / Mesh 瀏覽器中 Mesh 中的終端使用者 - 加入 Mesh 工作階段。

• Mesh 系統管理員 和使用者在 Mesh 入口網站上建立事件。

• 使用 Mesh 工具組 （Mesh Uploader） 來建立和上傳成品的內容建立 者。

Microsoft Mesh 的可稽核事件

目前可用的稽核事件如下所列。 事件是根據 Mesh 管理入口網站中的用戶活動，或 Mesh 應用程式中的工作階段/範本自定義活動產生。

事件名稱	描述
EnvironmentDeleted	刪除 Mesh 環境。
EnvironmentPublished	發佈新版本的 Mesh 環境。
ComponentCreated	為指定的 Mesh 工作階段建立工作階段元件。
ComponentDeleted	刪除指定 Mesh 工作階段的工作階段元件。
TemplateCreated	建立新的 Mesh World/Collection 範本。
TemplateDeleted	刪除 Mesh World 範本內容和元數據。
TemplateUpdated	更新現有的 Mesh World/Collection 範本。
WorldCreated	建立 Mesh World/Collection。
WorldDeleted	刪除 Mesh World/Collection。
WorldUpdated	更新 Mesh World/Collection。
WorldMembersAdded	將成員新增至 Mesh World/Collection。
WorldOwnersAdded	新增 Mesh World/Collection 的擁有者。
WorldMembersRemoved	從 Mesh World/Collection 中移除成員。
WorldOwnersRemoved	從 Mesh World/Collection 中移除擁有者。
EnvironmentStorageCreated	建立 Mesh 環境的新儲存位置。
SessionMetadataCreated	建立 Mesh World/Collection 工作階段元數據。
SessionMetadataDeleted	刪除 Mesh World/Collection 工作階段元數據。
SessionMetadataUpdated	更新 Mesh World/集合工作階段元數據。
SessionMetadataTemplateCreated	建立 Mesh World/Collection 的範本自定義。
SessionEnvironmentSet	設定共同作業會話的環境。
SessionJoin	Mesh 服務已佈建必要的系統資源，並提供用戶端應用程式加入 Mesh 工作階段所需的資訊。

一些關於這些事件術語所指的一些說明：

• 會話：是指針對環境或會議設定特定專案時的會話。 稽核記錄會擷取三種類型的會話：

  • 範本自定義會話：當使用者自定義事件範本並在 Mesh 應用程式中儲存變更時，會擷取記錄。
  • 事件自定義會話：當使用者自定義單一事件並儲存Mesh應用程式中的變更時，會擷取記錄。
  • 事件會話：當 Mesh 事件發生時，會擷取記錄。 一般而言，組態是不可變的，因為用戶無法將元件放在即時事件中，例如。

• World ：是指網路上 Mesh 中的集合。 集合是一個貯體，可保存Mesh事件中使用的環境和環境的範本。 當使用者建立集合、刪除集合、將成員新增至集合、將擁有者新增至集合，或從集合中移除擁有者時，稽核記錄會擷取。

• 元件：是指在事件、範本或自定義會話啟動會話時，在環境中轉譯的物件。 如果使用者嘗試輸入環境，該環境中的元件會由元件記錄載入並擷取。

Microsoft Purview

Microsoft Purview 稽核解決方案提供整合式解決方案，可協助組織有效地回應安全性事件、鑑識調查、內部調查和合規性義務。

Purview 稽核記錄解決方案的必要條件

瞭解如何開始使用 Microsoft Purview 稽核記錄解決方案。

開始使用搜尋功能

請參閱如何在 Microsoft Purview 中搜尋稽核記錄。

匯出、設定和查看稽核記錄

如何匯出、設定及檢視稽核記錄檔記錄。

Exchange Online PowerShell

使用 Exchange Online PowerShell 的必要條件

若要對 Mesh 作業進行稽核記錄，需要下列必要條件：

• 存取並熟悉 Microsoft Purview 以進行稽核記錄
• 存取並熟悉 PowerShell Exchange Cmdlet
• 執行 Cmdlet 命令所需的系統管理員許可權
• Microsoft Excel 或其他數據分析工具，在收集數據後分析數據
• PowerShell v7

收集 Mesh 的稽核記錄

連線至 Exchange Online PowerShell

在 PowerShell 中，載入 Exchange Online PowerShell 模組

Import-Module ExchangeOnlineManagement

線上和驗證

Connect-ExchangeOnline -UserPrincipalName [USER]@[AADDOMAIN].com

如需詳細資訊，請參閱 如何連線到 Exchange Online PowerShell。

確認稽核記錄已開啟

Microsoft 365 組織預設會開啟稽核記錄。 不過，設定新的 Microsoft 365 組織時，您應該確認組織的稽核狀態。 如需指示，請參閱如何 開啟或關閉稽核。

提示

若要檢查每個 Cmdlet 所需的許可權，請造訪 尋找執行任何 Exchange Cmdlet 所需的許可權。

搜尋 Unified AuditLog 事件

一旦確認稽核記錄已開啟，而且您具有執行 Cmdlet 的適當許可權，您現在可以使用 Search-UnifiedAuditLog 命令搭配各種篩選器來搜尋記錄檔記錄。

重要

有廣泛的參數 Search-UnifiedAuditLog陣列。 請檢閱 Search-UnifiedAuditLog 檔 |Microsoft Learn 以取得詳細資訊。

稽核記錄內容包含下列欄位：

• RecordType - 工作負載類型，例如 SharePoint 或 MeshWorlds
• CreationDate
• UserIds - 執行作業的使用者。
• 工作 - 通常是作業名稱或作業名稱。
• AuditData - JSON 編碼的詳細事件數據。 內容會根據工作負載類型而有所不同。
• ResultIndex - PowerShell 腳本所傳回結果中數據列的索引（1-N...）。
• ResultCount - PowerShell 腳本所傳回的數據列總數。
• 身分識別 - 使用者的 Azure 識別碼/Microsoft Entra GUID。

Search-UnifiedAuditLog 範例 1

使用 -StartDate 和 -EndDate進行稽核記錄的基本查詢。

Search-UnifiedAuditLog -StartDate 2024-04-01 -EndDate 2024-05-01 | Export-Csv -Path .\export-all.csv -NoTypeInformation

記錄內容會以一開始難以剖析的格式提供，但一旦格式化，就應該可以理解。

範例回應：

"AzureActiveDirectory","4/9/2024 6:49:03 PM","[XXXXXXX]@[XXXXX].com","Update group.","{""CreationTime"":""2024-04-09T18:49:03"",""Id"":""871d4a2e-8e38-488e-a83e-b7a7c6c65228"",""Operation"":""Update group."",""OrganizationId"":""05e05ab5-f8a3-409d-bfa5-01edb8cecf82"",""RecordType"":8,""ResultStatus"":""Success"",""UserKey"":""10032002CCA9134A@meshrp.onmicrosoft.com"",""UserType"":0,""Version"":1,""Workload"":""AzureActiveDirectory"",""ClientIP"":""20.171.55.147"",""ObjectId"":""Group_1ae6e759-85e0-4f8f-b6b5-691b72ca1ba7"",""UserId"":""[XXXXXXX]@[XXXXX].com"",""AzureActiveDirectoryEventType"":1,""ExtendedProperties"":[{""Name"":""additionalDetails"",""Value"":""{\""GroupType\"":\""Unified\"",\""User-Agent\"":\""kiota-dotnet\/1.3.4\""}""},{""Name"":""extendedAuditEventCategory"",""Value"":""Group""}],""ModifiedProperties"":[{""Name"":""Description"",""NewValue"":""[\r\n  \""New collection of stuff for M365 Audit feature testing\""\r\n]"",""OldValue"":""[\r\n  \""New collection of stuff\""\r\n]""},{""Name"":""MailNickname"",""NewValue"":""[\r\n  \""MyCollectionofStuff2272\""\r\n]"",""OldValue"":""[\r\n  \""MyCollectionofStuff2\""\r\n]""},{""Name"":""Included Updated Properties"",""NewValue"":""Description, MailNickname"",""OldValue"":""""},{""Name"":""TargetId.GroupType"",""NewValue"":""Unified"",""OldValue"":""""}],""Actor"":[{""ID"":""[XXXXXXX]@[XXXXX].com"",""Type"":5},{""ID"":""10032002CCA9134A"",""Type"":3},{""ID"":""Microsoft Mesh Services"",""Type"":1},{""ID"":""3016d0ce-47cc-4005-b11d-5fcabb1b643d"",""Type"":2},{""ID"":""User_c7e95ea2-64f6-4743-b8e6-52ce520cba81"",""Type"":2},{""ID"":""c7e95ea2-64f6-4743-b8e6-52ce520cba81"",""Type"":2},{""ID"":""User"",""Type"":2}],""ActorContextId"":""05e05ab5-f8a3-409d-bfa5-01edb8cecf82"",""ActorIpAddress"":""20.171.55.147"",""InterSystemsId"":""2cd62b4e-4744-4c55-8a88-e64771393266"",""IntraSystemId"":""0b9fe72c-eca5-4ad5-a9c5-5986e8bc963d"",""SupportTicketId"":"""",""Target"":[{""ID"":""Group_1ae6e759-85e0-4f8f-b6b5-691b72ca1ba7"",""Type"":2},{""ID"":""1ae6e759-85e0-4f8f-b6b5-691b72ca1ba7"",""Type"":2},{""ID"":""Group"",""Type"":2},{""ID"":""My Collection of Stuff 2"",""Type"":1}],""TargetContextId"":""05e05ab5-f8a3-409d-bfa5-01edb8cecf82""}","4","2148","871d4a2e-8e38-488e-a83e-b7a7c6c65228","True","Unchanged"

提示

-NoTypeInformation 是 一個 PowerShell 公用程式 ，可讓.csv導出更簡潔。

搜尋搜尋-UnifiedAuditLog 範例 2

包含字串之所有稽核記錄-OperationsWorld的基本查詢。

Search-UnifiedAuditLog -StartDate 2024-04-01 -EndDate 2024-05-01 -Operations World* | Export-Csv -Path .\export-all-world.csv -NoTypeInformation

搜尋搜尋-UnifiedAuditLog 範例 3

包含字串之所有稽核記錄-UserIds[email@company.com]的基本查詢。

Search-UnifiedAuditLog -StartDate 2024-04-01 -EndDate 2024-04-10 -UserIds [email@company.com] | Export-Csv -Path .\export-all-Max.csv -NoTypeInformation

記錄內容分析

稽核記錄內容會以 JSON 格式傳回。 AuditData 分析可能需要熟悉 將文字剖析為 JSON 或 XML。

記錄集可以匯入至 Excel 進行分析。 如需詳細資訊，請參閱 如何將數據源中的數據匯入 Excel。